Spolupráce s externími výzkumníky bezpečnosti

Autor: Adrian Stone, senior ředitel, Bezpečnost produktů EA

10. prosince 2019

Dnes byla vydána aktualizovaná verze klienta služby Origin, která řeší dříve zjištěnou chybu zabezpečení.  Za určitých okolností mohl tento problém zapříčinit, že oprávněný uživatel s omezenými povoleními získal přístup privilegované úrovně k počítačům s nainstalovaným Originem.

Aktualizace byla již implementována do klienta Origin a lze ji také přímo stáhnout odsud. Během našeho šetření a vývoje aktualizace jsme nezískali žádné důkazy o tom, že by tuto chybu někdo zneužil.

O problému jsme byli původně zpraveni prostřednictvím našeho programu pro zasílání chyb v zabezpečení produktu. Rádi bychom poděkovali Vasiliju Kravetzovi z AMonitoring a Mattu Nelsonovi za úzkou spolupráci během našeho šetření a vývoje řešení v souladu s postupy v rámci Koordinovaného zveřejňování informací o zranitelnosti produktů.

Vydali jsme bezpečnostní doporučení s dalšími podrobnosti o zranitelnosti a vysvětlující článek s obsáhlými informacemi o aktualizaci.

Jde o velmi specifickou záležitost, která zasáhla také další části herního průmyslu. Proto jsme si mysleli, že by nebylo od věci podělit se o další informace ohledně toho, proč k celé situaci vůbec došlo.

Mnoho našich hráčů využívajících platformu Origin si staví herní počítače a výkonné herní notebooky, proto byl klient Originu vytvořen způsobem, který předpokládal, že všichni uživatelé budou disponovat vysokými oprávněními a neustále chtít mít plnou kontrolu nad svým systémem. Od té doby se ale standard videoherního odvětví posunul jinam. Více lidí včetně některých hráčů používá svůj počítač na úrovni standardních uživatelů s „omezenými“ oprávněními.  A někteří další vytvoří účty pro další uživatele s omezenými právy, kteří sdílí systém s více než jednou osobou. Tato praxe, která je v bezpečnostních kruzích nazývána jako „minimální privilegium“, pomáhá omezovat dopad potenciálních bezpečnostních problémů. Dodavatelé operačních systémů nedávno začali na tuto změnu reagovat a na jejím základě provedli v systémech určité změny.

Pokud by se útočník pokusil zneužít tuto chybu v zabezpečení, musel by se přihlásit k počítači s platným uživatelským účtem bez administrátorských práv. Následně by si musel nainstalovat speciálně vytvořený program nebo spustit kód, který upraví část softwaru s cílem získat vyšší úroveň přístupu.

Naprostá většina našich současných uživatelů Originu již má přístup na úrovni administrátora a je to jediný uživatelský účet na počítači (počet uživatelů, kteří nemají přístup na úrovni administrátora, je menší než pět procent naší celkové uživatelské základny). Tato chyba je tak u většiny uživatelů nepravděpodobná, protože by to nevedlo k dalšímu přístupu ani privilegiím.

Přestože se tento problém týkal pouze malého počtu hráčů s nainstalovaným klientem Origin, bezpečnost každého uživatele je pro nás velmi důležitá, a proto jsme rádi, že se nám podařilo vyřešit zmíněnou situaci prostřednictvím dnešní aktualizace představující režim omezeného přístupu. V budoucích verzích chceme rovněž zlepšit svůj postoj ohledně principů minimálního privilegia pro Origin a režim omezeného přístupu na základě získaných poznatků. Tyto pozitivní interakce mezi komunitou výzkumu bezpečnosti a vydavateli her zvyšují laťku bezpečnosti pro všechny uživatele.